通過(guò)合法服務(wù)的軟件更新分發(fā)惡意軟件是一種久經(jīng)考驗(yàn)的技術(shù)。這次的事件中，黑客誘使毫無(wú)戒心的用戶安裝了Adobe Flash Player的最新更新版本，而實(shí)際是惡意軟件。但是，這一次，網(wǎng)絡(luò)罪犯在方法上增加了一些創(chuàng)新。

據(jù)卡巴斯基實(shí)驗(yàn)室的網(wǎng)絡(luò)安全研究人員稱，網(wǎng)絡(luò)犯罪分子正在使用網(wǎng)站安全證書(shū)來(lái)誘捕無(wú)辜的用戶，并且已經(jīng)用惡意軟件感染了許多網(wǎng)站。

[[318143]]

當(dāng)用戶訪問(wèn)受感染的站點(diǎn)時(shí)，將顯示一條消息，指出該網(wǎng)站的安全證書(shū)已過(guò)期并且需要更新。此更新實(shí)際上感染了Mokes或Buerak惡意軟件。

Mokes是一個(gè)復(fù)雜的后門，可以感染macOS和Windows系統(tǒng)，并且可以執(zhí)行多種功能，包括截屏，執(zhí)行代碼以及從設(shè)備中竊取敏感的個(gè)人數(shù)據(jù)，音頻和視頻文件，文檔以及PC信息。

此外，它使用AES-256加密來(lái)保持未被檢測(cè)的狀態(tài)，并且還安裝了另一個(gè)后門以提高持久性。

相反，Buerak會(huì)感染基于Windows的系統(tǒng)。該木馬可以操縱運(yùn)行的進(jìn)程，執(zhí)行代碼，竊取數(shù)據(jù)，使用注冊(cè)表項(xiàng)提高持久性，還可以識(shí)別并繞過(guò)不同的沙盒和分析機(jī)制。

在博客文章中，研究人員解釋說(shuō)，為誘捕受害者，受感染的網(wǎng)站會(huì)顯示一個(gè)錯(cuò)誤，要求用戶更新SSL / TLS安全證書(shū)，這是由證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的網(wǎng)站安全證書(shū)，以確保瀏覽器和服務(wù)器之間的加密通信，并證明域的可靠性。

被黑客入侵的網(wǎng)站顯示偽造消息的屏幕截圖

該消息通過(guò)jquery.js腳本中的iframe顯示，并且活動(dòng)通過(guò)C&C服務(wù)器進(jìn)行監(jiān)視。當(dāng)用戶單擊更新按鈕時(shí)，會(huì)下載Certificate_Update_v02.2020.exe。安裝完成后，惡意軟件將被傳送到計(jì)算機(jī)。

據(jù)研究人員稱，網(wǎng)絡(luò)犯罪分子感染了各種各樣的網(wǎng)站，以獲取大量的客戶數(shù)據(jù)數(shù)量的用戶，其中受害商家包括汽車配件銷售網(wǎng)站和動(dòng)物園等。該感染于2020年1月16日首次被檢測(cè)到。

如果您在Internet上，則需要確保自己不會(huì)陷入此類騙局。為了保護(hù)自己，請(qǐng)確保始終安裝可信任的防病毒軟件，系統(tǒng)已升級(jí)到最新版本，瀏覽器配備了安全插件/擴(kuò)展程序，可以掃描和警告您訪問(wèn)的網(wǎng)站。

如果仍然不確定，請(qǐng)使用正規(guī)殺毒軟件掃描讓您安裝插件的惡意URL。